12
WLAN für Mitarbeiter und Internet für Gäste (die xte)
Firmen Projekt
hallo Leute,
ich soll auf Arbeit ein Projekt verwirklichen und weiß nicht so recht wie ich es anstellen soll. Natürlich habe ich die Suchfunktion benutz, bin aber nicht besonders schlauer draus geworden
Umfeld:
--> Firmen LAN mit allen drum und dran
Aufgabe:
--> WLAN für Mitarbeiter inkl. Zugriff auf das Firmen Netz
--> Gäste Internetzugriff mit 100%iger abschirmung des Firmen LAN
Mittel:
--> D-Link AP 2000AP+
Das Wlan für die Mitarbeiter war ganz einfach einzurichten.
Ich habe eine WPA PSK Verschlüsselung, die SSID ist versteckt und der Zugriff geht nur unter der MAC Adresse.
(Sicherheit des WLAN ist sehr wichtig!)
Also ist der 1Punkt erledigt.
Nun soll aber noch ein Zugang für Gäste eingerichtet werden, die nur Zugriff auf`s internet haben.
Und da liegt auch schon mein Problem!
Der AP kann keine 2 SSID die ich unterscheidlich konfigurieren könnte.
Was habe ich jetzt für möglichkeiten?
Zwischendurch habe ich auch einige Sachen aufgeschnappt, aber überhaupt keine Ahnung davon. Dementsprechend gibts da auch Erklärungsbedarf.
z.B.
- kann ich das Wlan so einrichten, dass der Zugang für die Laptops mit registrieren MAC Adressen "offen" für alles ist
UND den Laptops im WLAN mit zugewiesener IP über DHCP nur der Internet Zugang bereitgestellt wird?
- wenn ich mir noch einen AP anschaffe und das Gäste Wlan einrichte, kann ich es dann so konfigurieren, dass bestimmt Ports gesperrt werden?! bzw. nur der Internet Port frei ist ?
gruß
matdoer
hallo Leute,
ich soll auf Arbeit ein Projekt verwirklichen und weiß nicht so recht wie ich es anstellen soll. Natürlich habe ich die Suchfunktion benutz, bin aber nicht besonders schlauer draus geworden
Umfeld:
--> Firmen LAN mit allen drum und dran
Aufgabe:
--> WLAN für Mitarbeiter inkl. Zugriff auf das Firmen Netz
--> Gäste Internetzugriff mit 100%iger abschirmung des Firmen LAN
Mittel:
--> D-Link AP 2000AP+
Das Wlan für die Mitarbeiter war ganz einfach einzurichten.
Ich habe eine WPA PSK Verschlüsselung, die SSID ist versteckt und der Zugriff geht nur unter der MAC Adresse.
(Sicherheit des WLAN ist sehr wichtig!)
Also ist der 1Punkt erledigt.
Nun soll aber noch ein Zugang für Gäste eingerichtet werden, die nur Zugriff auf`s internet haben.
Und da liegt auch schon mein Problem!
Der AP kann keine 2 SSID die ich unterscheidlich konfigurieren könnte.
Was habe ich jetzt für möglichkeiten?
Zwischendurch habe ich auch einige Sachen aufgeschnappt, aber überhaupt keine Ahnung davon. Dementsprechend gibts da auch Erklärungsbedarf.
z.B.
- kann ich das Wlan so einrichten, dass der Zugang für die Laptops mit registrieren MAC Adressen "offen" für alles ist
UND den Laptops im WLAN mit zugewiesener IP über DHCP nur der Internet Zugang bereitgestellt wird?
- wenn ich mir noch einen AP anschaffe und das Gäste Wlan einrichte, kann ich es dann so konfigurieren, dass bestimmt Ports gesperrt werden?! bzw. nur der Internet Port frei ist ?
gruß
matdoer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126628
Url: https://administrator.de/contentid/126628
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
12 Kommentare
Neuester Kommentar
Und hier der xte Hinweis auf das zu diesem Thema bestehende Tutorial was alle deine Fragen beantwortet:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
20 Euro für einen Gäste_AP musst du leider noch investieren, da ihr beim Kauf des normalen APs ja leider nicht nachgedacht habt und eine Billiglösung gekauft hat.
Mit 2 SSIDs und der tagged Lösung mit der Monowall:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
wäre die Lösung noch eleganter (und besser) gewesen. Aber zusätzliche 20 Euronen sollte dir das ja wert sein...
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
20 Euro für einen Gäste_AP musst du leider noch investieren, da ihr beim Kauf des normalen APs ja leider nicht nachgedacht habt und eine Billiglösung gekauft hat.
Mit 2 SSIDs und der tagged Lösung mit der Monowall:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
wäre die Lösung noch eleganter (und besser) gewesen. Aber zusätzliche 20 Euronen sollte dir das ja wert sein...
Ich habe auch so etwas ähnliches (zumindest theoretisch in der Schublade 
).
Das Problem habe ich mit der IPCop-Firewall gelöst (einfach mal googeln). pfSense ist da auch sehr zu empfehlen, da kannst du mehrere VLANS voneinander trennen.
gruss, tom
).Das Problem habe ich mit der IPCop-Firewall gelöst (einfach mal googeln). pfSense ist da auch sehr zu empfehlen, da kannst du mehrere VLANS voneinander trennen.
gruss, tom
das geht nicht -->
- kann ich das Wlan so einrichten, dass der Zugang für die Laptops mit registrieren MAC Adressen "offen" für alles ist
UND den Laptops im WLAN mit zugewiesener IP über DHCP nur der Internet Zugang bereitgestellt wird?
Geht das überhaupt mit einer Abschirmung vom Firmennetz, weil wir über einen Proxy server ins www gehen ?
- kann ich das Wlan so einrichten, dass der Zugang für die Laptops mit registrieren MAC Adressen "offen" für alles ist
UND den Laptops im WLAN mit zugewiesener IP über DHCP nur der Internet Zugang bereitgestellt wird?
Geht das überhaupt mit einer Abschirmung vom Firmennetz, weil wir über einen Proxy server ins www gehen ?
mac address filterung ist sowas von unsicher, da kannst auch gleich ganz drauf verzichten.
kann ich das Wlan so einrichten
Mach einfach zwei voneinander getrennte Netze, die du unterschiedlich konfigurieren kannst.
Geht das überhaupt mit einer Abschirmung vom Firmennetz, weil wir über einen Proxy server ins www gehen ?
ja, natürlich geht das auch trotzdem.
könnte ich nicht einen neuen ip bereich für die Gäste machen und den proxy dann auch für den einstellen?
kommen die dann trotzdem an das firmennetz?
kommen die dann trotzdem an das firmennetz?
So könnte es aussehen wenn du für die Gäste mit einem Hotspot arbeitest. AP im Gastnetz ist offen mit SSID "FirmaXYZ-Guest" und der AP im Firmennetz ist WPA2 verschlüsselt. Beie AP benötigen einen Abstand von 5 Kanälen (1, 6, 11er Regel !)
Damit ist eine vollkommene Trennung von Gastnetz und Firmennetz gegeben. Du hast sogar noch einen Überblick welcher Gast wann euren Internet Zugang benutzt hat. Ob du dann das Captive Portal benutzt für die Gäste oder nicht kannst du selber entscheiden ! Besser ist es in jedem Falle da es erstens besser aussieht und du eben wie gesagt überwachen kannst was die Gäste machen.
Weiterer Vorteil: Die Lösung ist kostenlos !
Den Proxy Server hängst du dann in das Segment zw. der Monowall und dem DSL Router !
Damit ist eine vollkommene Trennung von Gastnetz und Firmennetz gegeben. Du hast sogar noch einen Überblick welcher Gast wann euren Internet Zugang benutzt hat. Ob du dann das Captive Portal benutzt für die Gäste oder nicht kannst du selber entscheiden ! Besser ist es in jedem Falle da es erstens besser aussieht und du eben wie gesagt überwachen kannst was die Gäste machen.
Weiterer Vorteil: Die Lösung ist kostenlos !
Den Proxy Server hängst du dann in das Segment zw. der Monowall und dem DSL Router !
"Den Proxy Server hängst du dann in das Segment zw. der Monowall und dem DSL Router !"
das geht eben nicht, das firmen lan sollte schon so bleiben wie es ist.
das geht eben nicht, das firmen lan sollte schon so bleiben wie es ist.
OK, kein Problem ! Was spricht dagegen dann die paar sporadischen Gäste ohne Proxy ins Internet zu lassen ???
Ist erheblich einfacher so und die Authentifizierung und Protokollierung wird ja so oder so über das Captive Portal / Hotspot gemacht !!!
Brenn dir doch schnell eine Boot CD mit der Monowall drauf,
http://m0n0.ch/wall/download.php?file=cdrom-1.3b18.iso
Steck sie in einen alten PC aus der Bastelkiste und boote damit und probiere das ganze Szenario in 30 Minuten durch anstatt lange rumzudiskutieren...??
Wo ist dein Problem damit ??
Ist erheblich einfacher so und die Authentifizierung und Protokollierung wird ja so oder so über das Captive Portal / Hotspot gemacht !!!
Brenn dir doch schnell eine Boot CD mit der Monowall drauf,
http://m0n0.ch/wall/download.php?file=cdrom-1.3b18.iso
Steck sie in einen alten PC aus der Bastelkiste und boote damit und probiere das ganze Szenario in 30 Minuten durch anstatt lange rumzudiskutieren...??
Wo ist dein Problem damit ??
alles klar ... ich setz mich mal dran
